- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath SSMS 服务器安全监测系统(X86)
软件安装指导
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目录
(1) 目标服务器推荐安装配置要求
|
类型 |
CPU(核) |
内存(GB) |
硬盘(GB) |
安装应用 |
|
A |
8 |
32 |
1024 |
SSMS主服务 |
|
B |
8 |
16 |
512 |
事件采集服务 |
(2) 由于E6404版本事件采集功能变更,目前提供单台部署(仅部署一台SSMS主服务端,但无法使用事件采集功能)和两台部署(即部署一台SSMS主服务端,一台事件采集服务,可使用事件采集功能)两种方案进行安装,强烈建议使用两台部署方案,将事件采集服务器单独安装在一台机器上。若是无事件采集功能需求可以使用单台部署方案,注意单台部署不支持使用事件采集功能。
(3) 单台部署时仅需安装A类主机;双台部署时需分别安装A,B类主机,对应安装服务。两台主机部署安装时,除配置要求不同外,两台主机都需要执行:4.1服务器安装,4.2-4.5服务器检查工作。
(4) 目标服务器预先安装好CentOS 7.x系统。
(5) 安装包为H3C SecPath 服务器安全监测系统程序。
(1) 使用火狐浏览器登录到VMware ESXi 6.5管理平台。
图2-1 登录VMware ESXi 6.5管理平台
(2) 进入[主页/存储/databases1],单击页面上的<数据存储浏览器>,并点击“浏览数据存储”。
图2-2 配置存储器
(3) 点击“上传”并选择Centos7.X镜像文件(CentOS-7-x86_64-DVD-1804.iso)上传到databases1上。
图2-3 上传镜像
右上角显示上传时进度条,可查看上传进度。
图2-4 上传镜像进度条
(1) 在VMware ESXi 6.5主页上,单击<创建/注册虚拟机>按钮,自定义选择创建类型、选择名称和客户操作系统、选择存储和自定义设置。如下图所示。
图2-5 创建/注册虚拟机
图2-6 选择创建类型
图2-7 选择名称和客户端操作系统
图2-8 选择存储
(2) 自定义设置配置,点击“添加其他设备”选择“CD/DVD驱动器”,并通过点击“数据存储ISO文件”选择之前导入databases1中的服务器安全系统ISO文件(CentOS-7-x86_64-DVD-1804.iso)。
图2-9 添加CD/DVD驱动器
图2-10 选择镜像文件
(3) 根据服务器安全系统配置要求,设置如下图所示:
图2-11 自定义设置硬件配置
(4) 单击<完成>之后,虚拟机配置完毕。
图2-12 完成向导
图2-13 完成虚拟机创建
(5) 单击<打开电源>按钮,进入安装系统界面。
图2-14 启动虚拟机
虚拟机设置完成后即可进行下一步系统安装配置,请继续查看_安装系统。
(1) 登录虚拟化管理平台。
图3-1 登录CAS管理平台
(2) 进入[云资源/cvknode/cvknode],单击页面上方的<存储>。
图3-2 配置存储
(3) 把操作系统ISO镜像文件上传到defaultpool。
图3-3 上传镜像
图3-4 查看镜像
(1) 单击<增加虚拟机>按钮,<基本信息>页面设置如下图所示。
图3-5 增加虚拟机
(2) <硬件信息>的推荐最低配置要求,如下图所示。CPU需要8核以上。
图3-6 配置CPU
(3) 内存大小需要32G以上。
图3-7 配置内存
(4) 网卡选择一块
图3-8 配置网卡
(5) 单块硬盘大小不低于1024G。
图3-9 配置硬盘
(6) 点击<光驱>选择镜像文件
图3-10 选择光驱
(7) 单击<完成>之后,虚拟机配置完毕。
图3-11 完成虚拟机配置
(8) 选择服务器安全,单击修改虚拟机,在概要/高级设置中将系统时钟修改为本地时钟。
图3-12 修改系统时钟
(9) 单击<启动>按钮,进入控制台界面。
图3-13 启动系统
虚拟机设置完成后即可进行下一步系统安装配置,请继续查看_安装系统。
(10) 两台部署请重复上述步骤,配置请参考 安装说明B机器 内存16G 硬盘512G
(1) 在安装系统界面下,按硬盘类型选择需要安装的系统类型,一般情况下,选择“Install CentOS 7 Sda”;如果硬盘是Virtio I/O,选择“Install CentOS 7 Vda”。选择会自动安装系统,直到可登录系统。
图4-1 安装系统
图4-2 选择语言
(2) 在安装信息摘要界面下,系统>安装位置,默认使用自动分区,此时需要手动划分磁盘空间。建议给/boot目录分配200M、swap目录分配8192M,剩余空间分配给/目录。
图4-3 磁盘划分
图4-4 选择我要配置分区后点击完成
图4-5 添加/boot挂载点(swap与/目录分配类似)
图4-6 添加/挂载点
图4-7 点击完成
图4-8 配置root密码
(3) 等候安装完毕后reboot系统,输入账号、密码,登录系统。
图4-9 安装完成
(4) 两台主机部署安装时,除配置不同外,两台主机都需要执行:4.1服务器安装,4.2--4.5服务器检查工作。
(1) 登录系统后,设置静态主机名。
hostnamectl set-hostname --static staticName
eg:hostnamectl set-hostname --static ssms
图4-10 配置静态主机名
(1) 登录系统后,设置服务端网络参数。输入命令vi /etc/sysconfig/network-scripts/ifcfg-eth0。(eth0为该CAS虚拟机的网卡名称,VMware虚拟机的网卡名可能为ensXXX,请确认自己网卡名称之后修改配置文件)
图4-11 配置静态IP
退出编辑页面后,输入命令service network restart重启网卡。
图4-12 重启网卡
systemctl stop firewalld.service #停止防火墙
systemctl disable firewalld.service #禁止防火墙开机启动
图4-13 关闭防火墙
(1)sudoer文件校验
对/etc/sudoers 文件进行检查,需要注释 Defaults requiretty选项。
执行:cat /etc/sudoers |grep requiretty
如图显示则可以忽略:
图4-14 sudoer文件校验-1
如图显示则需要手动注释:
图4-15 sudoer文件校验-2
则需要执行: chmod 755 /etc/sudoers && vi /etc/sudoers ,注释然后保存退出。如下图:
图4-16 sudoer文件校验-3
(2)检查hostname不可以是纯数字或localhost
执行:hostname
图4-17 hostname检查
如果显示localhost或者纯数字,则执行: hostnamectl set-hostname master
(3)检查/etc/ssh/sshd_config 文件中'RSAAuthentication yes' 'PubkeyAuthentication yes' 两个参数项保证可以使用密钥登录。若无该参数或者参数值为yes,无需修改。否则需修改完成后重启sshd服务。
(4)执行cat /etc/selinux/config 命令查看是否是SELINUX=disabled配置
执行: sed -i 's/SELINUX=.*/SELINUX=disabled/g' /etc/selinux/config && setenforce 0
图4-18 SELINUX参数校验
(5)umask校验 执umask 看是否是0022,不是请执行umask 0022
图4-19 umask校验
(6)通过ssh-copy-id 命令对相关的机器,手动进行免密,保证存在安装包的服务器能免密登录到每一台服务器上(包括自己),免密后请确认是否可以登录(执行ssh root@IP无需输入密码即为免密配置成功)。
【双台部署时免密举例】
SSMS服务端(假设为A机器)需要对事件采集服务器(假设为B机器)免密登录配置
(SSMS服务器配置)命令举例:
ssh-keygen -b 1024 -t rsa
ssh-copy-id -i /root/.ssh/id_rsa.pub B机器IP
ssh root@ B机器IP
图4-20 免密登录-1
(事件采集服务器配置)事件采集器上需要对SSMS服务端免密配置
命令举例:
ssh-keygen -b 1024 -t rsa
ssh-copy-id -i /root/.ssh/id_rsa.pub A机器IP
ssh root@ A机器IP
图4-21 免密登录-2
(SSMS服务器配置)SSMS服务端需要对自身进行免密配置
ssh-copy-id root@A机器IP
图4-22 免密登录-3
【单台部署时免密举例】
SSMS服务端需要对自身进行免密配置
ssh-copy-id root@A机器IP
图4-23 免密登录-4
(7)请检查对应服务器的时间,若不正确需要自行校准。
· 登录A类服务器,以下操作均在A类服务器上操作。
· 上传SecPathSSMS-IMW310-E6404_x86.tar.gz安装到/opt目录下
· 上传auto_install文件到/opt目录下
· 进入/opt目录下执行tar -zxvf SecPathSSMS-IMW310-E6404_x86.tar.gz命令进行解压缩
图5-1 安装包解压
· 对auto_install文件赋予可执行权限chmod +x auto_install
图5-2 对auto_install文件赋权
· 对sysinfo_common_v3.4.0.10文件赋予可执行权限chmod +x sysinfo_common*
图5-3 对sysinfo_common*文件赋权
· 准备规则包titan-rule-h3c-v3.4.0.10-*-install.zip 上传至/opt目录下
图5-4 规则包上传/opt目录
· 上传passwd文件至/opt目录下
· 上传brand.zip文件至/opt目录下
图5-5 安装包信息
· 执行./auto_install license命令进行授权码获取
图5-6 授权码获取
· 根据主机的硬件信息,获得唯一的标识号即设备信息,请复制上图授权码,粘贴进txt文档中保存,用于申请授权时设备信息文件的导入。
图5-7 设备信息文件
· 在公司官网申请得到license激活文件后,将授权文件上传至/opt目录下(与auto_install文件同级目录)
图5-8 授权文件上传/opt目录
【单台部署】 (事件采集APP和其它程序全部安装在一台机器上)
· 执行./auto_install install命令执行安装命令
· 配置解压路径,若不修改,直接回车即可
· 安装用户默认为root一般不做修改,ssh端口默认为22根据实际情况修改
· 私网IP必须配置,一般为目标服务器IP,即机器A的IP
· 域名根据实际情况配置,默认不配置
· 公网IP根据实际情况配置,默认不配置
· 事件采集服务器IP必须配置,单台部署时为目标服务器IP,即机器A的服务器IP
· 配置完毕后,程序会自动进行剩余安装步骤,并输出相关安装信息,如有报错根据实际情况处理
【两台部署】(事件采集服务器单独部署在一台机器上)
· 检查两台机器的配置,配置信息请看本手册的安装说明
· 对两台机器都进行系统环境检查,相关操作请看本手册4.5
· 请进行相关检查保证两台机器可以相互免密登录,在机器A上可以免密登录到B,在机器B上可以免密登录到A,且机器A可对自身免密
· 在机器A上执行./auto_install install命令执行安装命令
· 配置解压路径
· 安装包解压后进行相关配置
· 安装用户默认为root一般不做修改,ssh端口默认为22根据实际情况修改
· 私网IP必须配置,配置机器A的服务器IP
· 域名根据实际情况配置,默认不配置
· 公网IP根据实际情况配置,默认不配置
· 事件采集服务器IP必须配置,双台部署时事件采集服务器IP,即机器B的服务器IP
· 配置完毕后,程序会自动进行剩余安装步骤,并输出相关安装信息,如有报错根据实际情况处理
图5-9 双台部署时安装举例
安装过程中可实时查看控制台信息,了解安装详细信息。若安装时出现异常,可在控制台中查看错误、异常信息。
图5-10 实时输出
图5-11 安装日志输出
安装完毕后,最后会输出默认帐号和密码
图5-12 账号输出
· 在浏览器的网址栏输⼊“http://ServerIP:80进入H3C SecPath 服务器安全监测系统登录页。
· 在浏览器的网址栏输⼊“http://ServerIP:81进入用户管理后台界面。
· 在浏览器的网址栏输⼊“http://ServerIP:6110 进入patrol管理界面,即系统配置管理界面。
· 在浏览器的网址栏输⼊“http://ServerIP:6110 进入patrol管理界面
· 选择“系统设置>规则更新”下的规则导入,点击选择文件上传规则包titan-rule-h3c-v3.4.0.10-20230930123339-E6404.zip
图5-13 规则更新
· 点击更新规则进行规则更新,规则更新完成后,表示SSMS已部署完成。
支持
